분석 정보/악성코드 분석 정보

우크라이나 정부를 공격한 WhisperGate 악성코드

2022. 1. 24. 17:35

20221월경, 우크라이나의 정부 관련 조직 다수가 "WhisperGate" 공격으로 인해 운영이 중단됐다. 해당 공격은 랜섬웨어로 위장했지만 실질적으로 복구가 불가능한 파괴형 악성코드로 랜섬머니를 얻기보다는 대상 장치의 작동을 불가능하게 만들도록 설계되었다.

 

▶ 아래의 링크는 해당 악성코드에 대해 게시된 자사 블로그 정보성 글이다.
2022.01.17 - [최신 보안 동향] - 우크라이나를 표적으로 한 악성코드 등장

 

"WhiperGate" 악성코드는 두 단계의 악성 파일을 유포한 후 실행시킨다. 1단계의 악성 파일은 사용자 PCMBR을 랜섬노트 출력하는 코드로 변경하여 사용자가 재부팅 시 PC가 켜지지 않고, 공격자가 지정한 랜섬노트를 띄운다. 이후 악성코드는 자동으로 재부팅을 수행하지 않고, 2단계 악성 파일을 실행한다. 2단계 악성코드는 공격자의 디스코드 채널에서 추가 페이로드를 다운로드한 후 실행시킨다.

 

[그림 1] WhisperGate 악성코드 실행 흐름도

 

Analysis

"WhisperGate" 악성코드는 총 두 단계의 악성 파일이 유포된다. 이 중 1단계 악성 파일은 사용자 PC의 마스터 부트 레코드(MBR)에 공격자가 지정한 랜섬노트를 덮어쓴다. 마스터 부트 레코드(MBR), PC가 부팅될 때 가장 먼저 실행되며 운영체계를 사용하기 위해 설정하는 역할을 한다.

 

[그림 2] 변조된 마스터 부트 레코드(MBR)

 

사용자가 PC를 재부팅하면 [그림 3]과 같은 화면을 출력하며 부팅이 불가능하여 PC를 사용할 수 없게 된다.

 

[그림 3] 부팅 시 출력하는 랜섬노트 화면

 

1단계 악성 파일이 MBR을 덮어쓴 후, 2단계 악성 파일을 실행하여 추가적인 감염 동작을 수행한다. 2단계 악성 파일은 공격자의 디스코드 서버에서 추가 페이로드를 다운로드한 후 실행시킨다.

 

[그림 4] 2단계 악성코드의 다운로드 루틴 코드

 

다운로드된 추가 페이로드는 "Tbopbh.jpg"라는 이름의 난독화된 와이퍼 악성코드로 바이너리 코드가 전부 반대로 작성돼 있다. 해당 악성코드는 2단계 악성 파일에서 복호화된 후 메모리에서 실행된다.

 

[그림 5] 페이로드 바이너리 코드 복호화

 

추가 페이로드는 사용자 PC에서 특정 확장자를 가진 파일을 검색한 후, 바이너리의 1MB“0xCC”로 덮어쓰고, 확장자를 임의의 문자열로 변경한다. 이로 인해 파일은 파괴되어 실행이 불가능하고, 복원할 수 없는 상태가 된다.

 

[표 1] 파괴 확장자 목록

 

해당 악성코드는 파일 및 MBR을 파괴하여 PC를 사용할 수 없을 뿐만 아니라 복원 또한 불가능 하다는 특징이 있어 주의가 필요하다. 따라서 사용자는 보안에 신경 써서 감염을 예방하기 위해 불분명한 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.